网络安全行业一直存在信息共享问题。虽然众包的概念很棒,我们也形成了一些威胁情报社区,但回顾过去的历史,仍然很少有成功的经验证明这是一个可行的想法,目前,众包数据的来源仍然是大量的开源项目或第三方威胁情报供应商。有必要整合这些高价值的信息源,并给予相应的回报。对于企业安全团队来说,众包的概念并不新——我们的信息可以在朋友圈、电子邮件、即时消息和其他信息平台上共享。
随着技术的发展和整合,我们也渴望利用新技术帮助情报分享得越来越快。我们希望跟上每天不断增加的攻击数量。但众包威胁情报共享远未达到我们的预期。当我们看到攻击者为了利益、破坏或其他共同的邪恶目的快速共享信息时,我们也会受到刺激,希望更好地进行协作防御。
协同防御的挑战
即使众包威胁情报是网络安全社区的一个很好的尝试,也有很多挑战需要克服,才能真正实现协同防御。我将这些挑战总结为四点,如下图所示:
缺乏情报指征不再是威胁情报使用的挑战。相反,安全团队被大量的威胁情报淹没已经成为常态。这里缺少的是高质量的指征,即如何从噪音中获得有价值的信号。当然,从数量转移到质量并不容易。提高情报质量需要成熟的安全团队深入挖掘数据,而不是简单地接受所有传输的指征。
也有很多安全团队在缺乏上下文的情况下使用情报——这是不正确的。上下文指的是围绕指征的一系列有价值的数据。这不仅仅是众包或供应商可以解决的问题。每个公司都根据自己的情况为指征提供上下文。但是,一个单独的指征可以在不同的业务场景下表达完全不同的结果,更不用说整合不同公司提供的所有指征了。在威胁情报中添加上下文,是使威胁情报发挥实用价值的基础。特别是在众包模式下,更有必要在贡献情报的同时提供上下文。
另一个安全团队必须考虑的问题是数据共享背后的法律风险。对于上述信息共享过程中的其他问题,企业级安全团队有能力解决这些问题也就不足为奇了。但很多时候,在法律合规层面仍然存在敏感性和风险。虽然法律风险可以通过法律团队根据数据的业务场景、数据类型等分解成许多不同的细节来避免,但在许多公司格禁止共享数据。这样的法律风险会令人沮丧,因为攻击者没有这样的限制,我们只能看着他们如此成功地验证情报共享的价值。
最后,为了正确实现众包威胁信息,企业安全团队需要从信息消费者转变为信息贡献者。这对众包尤为重要。多年来,许多公司只是消费者信息,但从不反馈。如果只有少数公司为社区贡献信息,这样的社区就很难维持。回馈社区的典型方法是通过工具或脚本从系统中提取数据,然后提交给信息提供商。在企业安全团队中很少有人有这种技能,因为大多数人都在软件工程师团队中。越来越多成熟的企业安全团队已经意识到了他们的价值,并正在招募这些专家来建立这种能力。